{"id":1034,"date":"2026-01-19T16:08:32","date_gmt":"2026-01-19T15:08:32","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1034"},"modified":"2026-01-19T16:08:32","modified_gmt":"2026-01-19T15:08:32","slug":"microsoft-365-copilot-chat-leitplanken-fuer-den-datenschutz","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/01\/19\/microsoft-365-copilot-chat-leitplanken-fuer-den-datenschutz\/","title":{"rendered":"Microsoft 365 Copilot Chat: Leitplanken f\u00fcr den Datenschutz"},"content":{"rendered":"<h2>Microsoft 365 Copilot Chat: Produktivit\u00e4tsschub mit Leitplanken f\u00fcr den Datenschutz<\/h2>\n<p>Seit Anfang 2025 ist der <strong>Microsoft 365 Copilot Chat<\/strong> kostenlos in alle g\u00e4ngigen Office-Anwendungen integriert und hat die Art und Weise, wie wir mit Dokumenten und Daten interagieren, grundlegend ver\u00e4ndert. W\u00e4hrend das Tool enorme Effizienzgewinne verspricht, stellt es Unternehmen und Datenschutzbeauftragte (DSB) vor die Herausforderung, klare Regeln f\u00fcr eine datenschutzkonforme Nutzung zu definieren.<\/p>\n<h3>Die technische Basis: Innerhalb der Dienstgrenze<\/h3>\n<p>Ein entscheidender Vorteil f\u00fcr den Datenschutz ist, dass die Verarbeitung der Eingaben innerhalb der <strong>Microsoft-365-Dienstgrenze<\/strong> erfolgt. Das bedeutet:<\/p>\n<ul>\n<li><strong>Sicherheitskontrollen:<\/strong> Es gelten dieselben strengen Datenschutz- und Compliance-Standards wie f\u00fcr Exchange, Teams oder SharePoint.<\/li>\n<li><strong>Mandantenisolierung:<\/strong> Die Datenverarbeitung bleibt auf den einzelnen Tenant beschr\u00e4nkt.<\/li>\n<li><strong>Kein Training:<\/strong> Microsoft garantiert, dass weder Eingaben noch Antworten zum Training der zugrunde liegenden Sprachmodelle (OpenAI oder interne Systeme) verwendet werden.<\/li>\n<\/ul>\n<h3>Copilot Chat vs. Microsoft 365 Copilot (Vollversion)<\/h3>\n<p>Es ist wichtig, zwischen dem kostenlosen Copilot Chat und der lizenzierten Vollversion zu unterscheiden, insbesondere was den Datenzugriff betrifft:<\/p>\n<ul>\n<li><strong>Copilot Chat:<\/strong> Greift nur auf Daten zu, die der Benutzer <strong>aktiv bereitstellt<\/strong> (z. B. durch manuelles Hochladen, Textausschnitte oder die aktuell ge\u00f6ffnete Datei). Es besteht <strong>keine automatische Verbindung<\/strong> zu allen Unternehmensdaten \u00fcber Microsoft Graph.<\/li>\n<li><strong>Vollversion:<\/strong> Diese nutzt die Graph-API, um kontextbasierte Antworten aus der gesamten Organisationsumgebung (E-Mails, Kalender, Chats) zu generieren, was ein deutlich intensiveres Datenschutzmanagement erfordert.<\/li>\n<\/ul>\n<h3>Zentrale Datenschutzrisiken und Kontrollmechanismen<\/h3>\n<p>Trotz der technischen Einbettung gibt es spezifische Risikofelder, die eine aktive Steuerung durch die IT-Administration und den DSB erfordern:<\/p>\n<ol>\n<li><strong>Web Grounding (Bing-Suche):<\/strong> Wenn der Copilot aktuelle Informationen aus dem Internet ben\u00f6tigt, sendet er eine anonymisierte Suchanfrage an Bing. Diese Abfragen verlassen die Microsoft-365-Dienstgrenze. Da Microsoft f\u00fcr Bing als eigenst\u00e4ndiger Datenverantwortlicher agiert, sind diese Abfragen <strong>nicht EU-Data-Boundary-konform<\/strong> und werden au\u00dferhalb der EU verarbeitet. <strong>Praxis-Tipp:<\/strong> In sensiblen Umgebungen sollte die Websuche deaktiviert werden.<\/li>\n<li><strong>Protokollierung und Rechenschaftspflicht:<\/strong> S\u00e4mtliche Interaktionen werden in Exchange Online protokolliert und k\u00f6nnen \u00fcber <strong>Purview eDiscovery<\/strong> ausgewertet werden. Dies hilft bei der Einhaltung der Rechenschaftspflicht, erzeugt aber eine neue Kategorie personenbezogener Kommunikationsdaten, f\u00fcr die Speicher- und L\u00f6schfristen definiert werden m\u00fcssen.<\/li>\n<li><strong>Das &#8222;Rechte-Spiegel-Problem&#8220;:<\/strong> Der Copilot respektiert bestehende Zugriffsrechte (Entra ID). Wenn jedoch im Unternehmen zu weitreichende Berechtigungen oder offen konfigurierte SharePoint-Ordner existieren, kann ein Nutzer \u00fcber die KI Informationen abrufen, die er eigentlich nicht sehen sollte.<\/li>\n<\/ol>\n<h3>Empfehlungen f\u00fcr eine sichere Einf\u00fchrung<\/h3>\n<p>Die DSGVO-Konformit\u00e4t h\u00e4ngt ma\u00dfgeblich von der organisatorischen Umsetzung im Unternehmen ab. Microsoft gibt zwar eine Haftungszusage f\u00fcr generierte Inhalte, \u00fcbernimmt jedoch <strong>keine Verantwortung f\u00fcr Datenschutzverst\u00f6\u00dfe<\/strong>, die durch unsachgem\u00e4\u00dfe Nutzung entstehen.<\/p>\n<p>Folgende Schritte sind f\u00fcr den rechtskonformen Betrieb essenziell:<\/p>\n<ul>\n<li><strong>Zentrale Governance:<\/strong> Nutzen Sie das Microsoft 365 Admin Center, um festzulegen, welche Benutzergruppen Zugriff erhalten und ob Funktionen wie der Datei-Upload oder die Websuche aktiviert bleiben.<\/li>\n<li><strong>Schulung und Awareness:<\/strong> Mitarbeiter m\u00fcssen verstehen, dass Prompts im Tenant gespeichert werden und jede Anfrage nachvollziehbar bleibt. Sensible Daten sollten nicht unkontrolliert in den Chat eingegeben werden.<\/li>\n<li><strong>Schrittweise Einf\u00fchrung:<\/strong> Beginnen Sie mit einer Pilotgruppe, um die Auswirkungen auf den Datenschutz zu pr\u00fcfen, bevor eine mandantenweite Freigabe erfolgt.<\/li>\n<\/ul>\n<h3><\/h3>\n<h3>Wie soll die Sch\u00e4rfung des Personenbezugs in der DSGVO aussehen?<\/h3>\n<p>Im Rahmen des am 19. November 2025 vorgestellten <strong>\u201eDigital-Omnibus\u201c-Entwurfs<\/strong> (COM(2025) 837 final) plant die EU-Kommission eine gezielte Reform der Datenschutz-Grundverordnung, bei der die Sch\u00e4rfung des Personenbezugs ein zentraler Schwerpunkt ist.<\/p>\n<p>Die geplante \u00c4nderung sieht konkret folgende Ma\u00dfnahmen vor:<\/p>\n<ul>\n<li><strong>Erg\u00e4nzung von Art. 4 Nr. 1 DSGVO:<\/strong> Die Definition der personenbezogenen Daten soll um <strong>drei zus\u00e4tzliche S\u00e4tze<\/strong> erweitert werden. Diese Erg\u00e4nzungen haben das Ziel, \u201ekonturensch\u00e4rfer\u201c darzustellen, in welchen F\u00e4llen gerade <strong>kein Personenbezug<\/strong> vorliegt.<\/li>\n<li><strong>Kl\u00e4rung zur Anonymisierung:<\/strong> Parallel zur Sch\u00e4rfung des Personenbezugs sollen auch die Themenkomplexe der <strong>Anonymisierung<\/strong> und der Informationspflichten angepasst werden, um rechtliche Schwachstellen zu beseitigen.<\/li>\n<li><strong>Verbindliche Vorgaben zur Pseudonymisierung:<\/strong> In einem neuen Art. 41a DSGVO soll die EU-Kommission die Befugnis erhalten, k\u00fcnftig <strong>verbindliche Vorgaben<\/strong> zu erlassen, wann rechtlich von einer Pseudonymisierung auszugehen ist.<\/li>\n<li><strong>Strategisches Ziel:<\/strong> Diese \u00c4nderungen sind Teil der Bem\u00fchungen, den Regelungsaufwand f\u00fcr Unternehmen und Verwaltungen drastisch zu verringern und gleichzeitig die <strong>Datenknappheit f\u00fcr die KI-Entwicklung<\/strong> in der EU zu bek\u00e4mpfen. Durch die klarere Abgrenzung, wann Daten nicht mehr personenbezogen sind, sollen wesentlich mehr Daten f\u00fcr die Entwicklung und Anwendung von KI-Systemen nutzbar gemacht werden.<\/li>\n<\/ul>\n<p>Trotz dieser Anpassungen verfolgt die Kommission laut den Quellen das Ziel, diese \u00c4nderungen eher \u201erechtstechnischer Natur\u201c zu halten, um nennenswerte Einsparungen zu erzielen, ohne das bew\u00e4hrte Gesamtgef\u00fcge der DSGVO-Regelungen anzutasten.<\/p>\n<p>Zusammenfassend bietet Microsoft 365 Copilot Chat durch seine Architektur eine solide technische Grundlage f\u00fcr den Datenschutz, erfordert aber eine <strong>Kombination aus technischer Konfiguration und organisatorischer Disziplin<\/strong>, um die Risiken durch menschliches Fehlverhalten oder unklare Datenfl\u00fcsse zu minimieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft 365 Copilot Chat: Produktivit\u00e4tsschub mit Leitplanken f\u00fcr den Datenschutz Seit Anfang 2025 ist der&hellip;<\/p>\n","protected":false},"author":1,"featured_media":706,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,3,4],"tags":[],"class_list":["post-1034","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1034","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1034"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1034\/revisions"}],"predecessor-version":[{"id":1035,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1034\/revisions\/1035"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/706"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1034"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1034"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1034"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}